Dans une décision en date du 04 octobre 2024 (C-621/22), la Cour de justice de l’Union européenne (CJUE) a apporté une clarification majeure sur l’interprétation de l’article 6 du Règlement Général sur la Protection des Données (RGPD). Elle a jugé qu’un intérêt commercial pouvait être reconnu comme un intérêt légitime pour justifier le traitement de données personnelles, sous réserve de conditions strictes.
🟠 1 – Contexte de l’affaire
La KNLTB, fédération néerlandaise de tennis, avait communiqué, moyennant rémunération, des données personnelles de ses membres à deux sponsors commerciaux sans le consentement préalable de ces derniers. Ces sponsors ont ensuite utilisé ces informations à des fins de prospection commerciale.
L’autorité néerlandaise de protection des données, l’Autoriteit Persoonsgegevens, a infligé une amende à la KNLTB, estimant que cette pratique violait le RGPD.
La fédération a contesté cette décision, arguant que la communication des données reposait sur son intérêt légitime.
🟠 2 – Décision de la CJUE : l’intérêt commercial, un intérêt légitime sous conditions
L’article 6 du RGPD prévoit que le traitement des données personnelles est licite, même sans consentement lorsqu’il repose sur un intérêt légitime, à condition qu’il ne soit pas contraire à la loi et qu’il ne porte pas atteinte aux droits fondamentaux des individus.
La CJUE a ainsi confirmé qu’un objectif purement commercial pouvait constituer un intérêt légitime. Toutefois, cette reconnaissance repose sur plusieurs critères stricts :
- L’intérêt commercial invoqué doit être indispensable à la réalisation de l’objectif poursuivi.
- Il ne doit pas exister d’alternative moins intrusive pour atteindre ce même objectif.
- Le traitement des données ne doit pas porter une atteinte disproportionnée aux droits et libertés fondamentaux des personnes concernées.
Ainsi, la CJUE a souligné que la communication de données à des fins de prospection commerciale devait être effectuée avec prudence, en tenant compte des attentes raisonnables des membres de la fédération et de l’impact potentiel sur leur vie privée.
🟠 3 – Un équilibre à respecter entre intérêts économiques et protection des données
Si la reconnaissance d’un intérêt commercial comme base légale ouvre des perspectives aux entreprises, elle ne leur offre pas pour autant un passe-droit. La CJUE insiste sur la nécessité de trouver un équilibre entre les intérêts économiques des entreprises et la protection des données des individus.
Les entreprises doivent donc procéder à une analyse rigoureuse, en tenant compte notamment :
- Des attentes raisonnables des personnes concernées: un utilisateur peut-il raisonnablement s’attendre à ce que ses données soient utilisées à cette fin ?
- De l’impact du traitement sur la vie privée: le traitement des données crée-t-il un risque excessif pour la personne concernée ?
- Des mesures mises en place pour protéger ces données: l’entreprise a-t-elle prévu des mécanismes de sécurisation et de limitation de l’accès aux données ?
🟠 4 – La position de la CNIL sur l’intérêt légitime
En France, la CNIL a déjà admis que l’intérêt légitime pouvait justifier certains traitements de données, notamment lorsqu’il faut :
- Garantir la sécurité du réseau et des informations,
- Lutter contre la fraude, afin de prévenir les activités malveillantes.
Toutefois, la CNIL reste stricte sur certaines pratiques, notamment concernant la prospection commerciale par e-mail qui reste soumise au consentement explicite des utilisateurs, sauf en cas de relation commerciale préexistante.
🟠 5 – Quelles conséquences pour les entreprises ?
Cette décision de la CJUE pourrait avoir un impact significatif pour les entreprises qui traitent des données personnelles. Elle leur permet d’invoquer plus facilement l’intérêt légitime pour justifier certains traitements, sans systématiquement recourir au consentement.
Toutefois, cette nouvelle approche implique une analyse au cas par cas, exigeant de démontrer que :
- L’intérêt commercial poursuivi est légitime et proportionné,
- Les droits des individus sont respectés,
- Des mesures de protection suffisantes sont mises en place.
En l’absence de ces garanties, un traitement fondé sur l’intérêt légitime pourrait être jugé non conforme au RGPD, exposant l’entreprise à des sanctions.
🟠 Conclusion
Avec cette décision, la CJUE ouvre la porte à une reconnaissance plus large de l’intérêt commercial comme base légale pour le traitement des données. Toutefois, les entreprises devront redoubler de prudence en évaluant les risques et en s’assurant que leurs pratiques respectent les droits des individus.
Dans un contexte où les autorités de protection des données, telles que la CNIL, restent particulièrement vigilantes, cette évolution souligne l’importance d’une gestion rigoureuse et transparente des données personnelles.
Pour en savoir plus / sources : https://www.cnil.fr/fr/les-bases-legales/interet-legitime https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique |
Dans un monde de plus en plus interconnecté, la cybercriminalité constitue un défi majeur pour les États. Attaques par ransomware, fraudes en ligne, exploitation sexuelle des mineurs : les crimes numériques se multiplient et nécessitent une réponse internationale. C’est dans ce contexte que l’ONU a adopté la première convention mondiale dédiée à la lutte contre la cybercriminalité. Ce texte vise à harmoniser les législations et à renforcer la coopération entre les pays, mais il soulève également des préoccupations en matière de protection des droits fondamentaux.
En janvier 2025, l'Union européenne a imposé des sanctions contre trois agents du renseignement russe pour leur implication dans des cyberattaques visant l’Estonie en 2020. Ces individus, membres de l’unité 29155 du GRU (Direction principale du renseignement des forces armées russes), sont accusés d’avoir orchestré des opérations de cyberespionnage contre plusieurs ministères estoniens, compromettant ainsi la sécurité nationale du pays.
En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.
Récemment, la plateforme Binance, l’un des leaders mondiaux de l’échange de cryptomonnaies, a été placée sous le feu des projecteurs par la justice française. Soupçonnée d’avoir facilité des opérations de blanchiment aggravé et de fraude fiscale, Binance est accusée de ne pas avoir respecté ses obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme.